Segundo o chefe de equipe da White Team, Matt Johansen, e o especialista em segurança de aplicativos Kyle Osborn, apesar de o Google se vangloriar sobre a segurança de seu novo sistema operacional móvel, ele é “tão seguro quantos os aplicativos que nele rodam”. Dessa forma, hackers apenas vão mudar a forma de ataque. “Para que se preocupar com o hard drive se é possível pegar o que quiser diretamente da nuvem?”.
As extensões no Google Chrome são geralmente apenas miniaturas de aplicativos de rede e as vulnerabilidades detalhadas por Johansen e Osborn são falhas de scripting cross-site, que permitem ao invasor injetar JavaScript malicioso nas máquinas dos usuários, aproveitando permissões que os apps usam para interagir com as guias do navegador. Isso permite, por exemplo, que o aplicativo acesse a localização do GPS do usuário, histórico de chamadas ou navegador.
O principal problema é que muitas extensões permitem amplas permissões e mais acesso do que o necessário, tal como a habilidade de acessar qualquer site. Alguns apps – como o RSS, notificadores de e-mail e bloco de notas – muitas vezes exigem acesso amplo.
A Apple examina aplicativos que vão para sua AppStore, mas o Google não faz o mesmo com extensões disponibilizadas para o Chrome OS. Isso significa que um invasor pode fazer o upload de uma extensão para o Chrome Web Store e, depois, invadir todos que a baixarem. Osborn exemplificou com sucesso o ato durante sua palestra.
A extensão realiza uma varredura de entradas para verificar outros endereços IP dentro da subnet à qual um dispositivo móvel está conectado, invade o Google Contacts, usa seu login nas sessões do Google para enviar mensagens, iniciar chamadas telefônicas e injetar JavaScript, que podem incluir algo como uma chave de registro para qualquer site.
E, além dos apps maliciosos, podem haver vulnerabilidades até em apps comuns. Os pesquisadores descobriram que o ScratchPad, do Google, permite usar uma injeção scripting cross-site para pegar os contatos do usuário, bem como seus cookies – o que pode permitir que o invasor tenha acesso por exemplo, ao Gmail ou histórico de chamadas. Mesmo o Google sanando essas vulnerabilidades, os pesquisadores afirmaram que acharam falhas em inúmeros outros apps que podem levar a permissões similares.
Correções
Os pesquisadores mostraram que outra vulnerabilidade no leitor RSS pode ser usada para invadir histórico de senhas no site LastPass se o usuário tiver a extensão LastPass instalada no Chrome. A fornecedora tomou providências desde que essa possível falha foi descoberta e dificultou o acesso exigindo que o usuário efetue o login manualmente quando a guia do site for aberta.
Por sua vez, o Google trabalha para corrigir algumas dessas falhas. Está trabalhando na construção de APIs mais restritivos para os casos de uso de aplicativos comuns – como leitores de RSS – e forneceu ao desenvolvedores um guia de dicas sobre como não utilizar o JavaScript e como evitar permissões desnecessárias em extensões.
Fonte: INFO Online